一種移動終端入網(wǎng)驗證實現(xiàn)方法及實現(xiàn)系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����,尤其涉及的是一種移動終端入網(wǎng)驗證實現(xiàn)方法及實現(xiàn)系統(tǒng)���。
【背景技術(shù)】
[0002]隨著智能手機計算能力的強大��,及無線數(shù)據(jù)速度的提升�����,在線支付和電子交易的在便利的無線網(wǎng)絡(luò)上日益普及�。移動網(wǎng)絡(luò)的的安全性也引起普遍關(guān)注與重構(gòu)。
[0003]傳統(tǒng)無線網(wǎng)絡(luò)的安全性����,依賴于SM卡預(yù)存安全算法和密鑰,網(wǎng)絡(luò)無線服務(wù)器上���,保存著相同的密鑰和算法�。通過與無線接入點相同簡便的單向或雙向SIM卡預(yù)存算法識另IJ�����,完成用戶識別����,授權(quán)和數(shù)據(jù)安全加密密鑰的生成。所有運算基于傳統(tǒng)的對稱算法��,易于破解����。
[0004]對于安全性要求不高的語音通信����,傳統(tǒng)對稱算法使用SIM卡預(yù)存密鑰因子和算法���,對每次接入生成有效期限的密鑰����,可以完成接入識別�����,并保證一定時間內(nèi)的通信安全���。對于在線支付和電子交易����,不得不依賴額外的附加安全技術(shù)��,完成用戶識別��,數(shù)據(jù)一致性保護和安全通信�。給用戶消費和日趨普遍的小額交易帶來諸多不便���。
[0005]因此����,現(xiàn)有技術(shù)還有待于改進(jìn)和發(fā)展。
【發(fā)明內(nèi)容】
[0006]鑒于上述現(xiàn)有技術(shù)的不足�,本發(fā)明的目的在于提供一種移動終端入網(wǎng)驗證實現(xiàn)方法及實現(xiàn)系統(tǒng),旨在解決現(xiàn)有技術(shù)中基于對稱算法實現(xiàn)移動終端的入網(wǎng)驗證�����,易于破解�����,而且在線支付和電子交易�����,不得不依賴額外的附加安全技術(shù)����,完成用戶識別,導(dǎo)致用戶不方便的缺陷���。
[0007]本發(fā)明的技術(shù)方案如下:
一種移動終端入網(wǎng)驗證實現(xiàn)方法���,其中�����,所述方法包括以下步驟:
A����、當(dāng)服務(wù)器檢測到移動終端的入網(wǎng)請求時�����,則生成隨機串�����,將所述隨機串以用戶證書的公鑰為密鑰加密生成散列串���,并發(fā)送至移動終端����;
B��、移動終端接收所述散列串并進(jìn)行消息完整性驗證�,當(dāng)通過完整性驗證且移動終端中的散列串與服務(wù)器中的散列串一致時,則將待發(fā)送信息經(jīng)過DH算法的協(xié)商密鑰加密的加密通道發(fā)送至服務(wù)器�����。
[0008]所述移動終端入網(wǎng)驗證實現(xiàn)方法�����,其中�����,所述步驟A具體包括:
Al�、當(dāng)服務(wù)器接收到移動終端的入網(wǎng)請求時,則根據(jù)預(yù)設(shè)的隨機算法生成隨機串����;
A2、服務(wù)器根據(jù)已存儲的與移動終端相對應(yīng)的用戶證書的公鑰為密鑰將所述隨機串進(jìn)行加密生成網(wǎng)絡(luò)正在尋找實際回應(yīng)值���,并根據(jù)所述網(wǎng)絡(luò)正在尋找實際回應(yīng)值生成帶雙向驗證標(biāo)識位的散列串����,并發(fā)送至移動終端。
[0009]所述移動終端入網(wǎng)驗證實現(xiàn)方法��,其中���,所述步驟B具體包括:
B1����、移動終端接收所述散列串��,并根據(jù)散列串驗證消息的完整性�����,當(dāng)通過驗證時��,根據(jù)移動終端中已存儲的用戶私鑰對所述散列串進(jìn)行解密得到解碼隨機串�����;
B2�、判斷所述散列串中的雙向驗證標(biāo)志位是否為1,當(dāng)雙向驗證標(biāo)志位為I時則執(zhí)行步驟B3�,當(dāng)雙向驗證標(biāo)志位不為I時則執(zhí)行步驟B8 ;
B3、移動終端生成第一幻數(shù)隨機串���,并對根據(jù)服務(wù)器證書的公鑰對所述第一幻數(shù)隨機串加密�����,得到第一加密幻數(shù)隨機串����,并發(fā)送至服務(wù)器���;
B4�、服務(wù)器根據(jù)服務(wù)器私鑰對所述第一加密幻數(shù)隨機串進(jìn)行解密��,解密得到第一解密幻數(shù)隨機串����,并發(fā)送至移動終端;
B5�、在移動終端中進(jìn)行第一解密幻數(shù)隨機串與第一幻數(shù)隨機串的比對,當(dāng)一致時且移動終端通過合法性驗證時�,則根據(jù)用戶私鑰對所述解碼隨機串加密,得到加密解碼隨機串����,并發(fā)送至服務(wù)器�����;
B6�����、服務(wù)器接收并根據(jù)用戶證書的公鑰對所述加密解碼隨機串進(jìn)行解密��,得到解密隨機串��,并與所述隨機串進(jìn)行比對��,當(dāng)相同時則執(zhí)行步驟B9;
B7��、移動終端將所述解碼隨機串發(fā)送至服務(wù)器���;
B8、服務(wù)器接收所述解碼隨機串�,并與所述隨機串進(jìn)行比對,當(dāng)一致時且移動終端通過合法性驗證時則執(zhí)行步驟B9 ;
B9�����、移動終端將待發(fā)送信息經(jīng)過DH算法的協(xié)商密鑰加密的加密通道發(fā)送至服務(wù)器�����。
[0010]所述移動終端入網(wǎng)驗證實現(xiàn)方法,其中�,所述用戶證書的公鑰和用戶私鑰由移動終端生成,所述用戶證書的公鑰由移動終端發(fā)送至服務(wù)器進(jìn)行存儲����,所述用戶私鑰存儲在移動終端的SM卡或內(nèi)存中�����。
[0011 ] 所述移動終端入網(wǎng)驗證實現(xiàn)方法�,其中,所述步驟B5和B8中對移動終端進(jìn)行合法性驗證的過程具體包括:
B51��、服務(wù)器生產(chǎn)第二幻數(shù)隨機串����,根據(jù)用戶證書的公鑰對所述第二幻數(shù)隨機串加密,得到第二加密幻數(shù)隨機串����,并發(fā)送至移動終端;
B52��、移動終端根據(jù)用戶私鑰對所述第二加密幻數(shù)隨機串進(jìn)行解密,得到第二解密幻數(shù)隨機串�����,并發(fā)送至服務(wù)器�;
B53、在服務(wù)器中進(jìn)行第二加密幻數(shù)隨機串與第二幻數(shù)隨機串的比對��,當(dāng)一致時則移動終端通過合法性驗證����。
[0012]所述移動終端入網(wǎng)驗證實現(xiàn)方法,其中���,所述步驟B之后還包括:
C�、服務(wù)器接收所述待發(fā)送信息�,并將與待發(fā)送信息對應(yīng)的反饋信息經(jīng)過DH算法的協(xié)商密鑰加密的加密通道發(fā)送至移動終端。
[0013]一種移動終端入網(wǎng)驗證實現(xiàn)系統(tǒng)����,其中,包括:
散列串生成模塊���,用于當(dāng)服務(wù)器檢測到移動終端的入網(wǎng)請求時����,則生成隨機串,將所述隨機串以用戶證書的公鑰為密鑰加密生成散列串��,并發(fā)送至移動終端�����;
加密發(fā)送模塊��,用于移動終端接收所述散列串并進(jìn)行消息完整性驗證�����,當(dāng)通過完整性驗證且移動終端中的散列串與服務(wù)器中的散列串一致時��,則將待發(fā)送信息經(jīng)過DH算法的協(xié)商密鑰加密的加密通道發(fā)送至服務(wù)器����。
[0014]所述移動終端入網(wǎng)驗證實現(xiàn)系統(tǒng)�,其中,所述散列串生成模塊具體包括:
隨機串生成單元��,用于當(dāng)服務(wù)器接收到移動終端的入網(wǎng)請求時���,則根據(jù)預(yù)設(shè)的隨機算法生成隨機串����; 散列串發(fā)送單元,用于服務(wù)器根據(jù)已存儲的與移動終端相對應(yīng)的用戶證書的公鑰為密鑰將所述隨機串進(jìn)行加密生成網(wǎng)絡(luò)正在尋找實際回應(yīng)值��,并根據(jù)所述網(wǎng)絡(luò)正在尋找實際回應(yīng)值生成帶雙向驗證標(biāo)識位的散列串����,并發(fā)送至移動終端。
[0015]所述移動終端入網(wǎng)驗證實現(xiàn)系統(tǒng)����,其中,所述加密發(fā)送模塊具體包括:
解密單元�,用于移動終端接收所述散列串,并根據(jù)散列串驗證消息的完整性�,當(dāng)通過驗證時,根據(jù)移動終端中已存儲的用戶私鑰對所述散列串進(jìn)行解密得到解碼隨機串���;
判斷單元�����,用于判斷所述散列串中的雙向驗證標(biāo)志位是否為1��,當(dāng)雙向驗證標(biāo)志位為I時則啟動第一發(fā)送單元��,當(dāng)雙向驗證標(biāo)志位不為I時則啟動第二發(fā)送單元���;
第一幻數(shù)加密單元�,用于移動終端生成第一幻數(shù)隨機串�,并對根據(jù)服務(wù)器證書的公鑰對所述第一幻數(shù)隨機串加密,得到第一加密幻數(shù)隨機串����,并發(fā)送至服務(wù)器;
第一幻數(shù)解密單元���,用于服務(wù)器根據(jù)服務(wù)器私鑰對所述第一加密幻數(shù)隨機串進(jìn)行解密,解密得到第一解密幻數(shù)隨機串�,并發(fā)送至移動終端;
第一幻數(shù)比對單元�����,用于在移動終端中進(jìn)行第一解密幻數(shù)隨機串與第一幻數(shù)隨機串的比對�����,當(dāng)一致時且移動終端通過合法性驗證時,則根據(jù)用戶私鑰對所述解碼隨機串加密�,得到加密解碼隨機串,并發(fā)送至服務(wù)器����;
第一隨機串解密單元,用于服務(wù)器接收并根據(jù)用戶證書的公鑰對所述加密解碼隨機串進(jìn)行解密����,得到解密隨機串,并與所述隨機串進(jìn)行比對�����,當(dāng)相同時則啟動消息發(fā)送單元����;解碼隨機串發(fā)送單元,用于移動終端將所述解碼隨機串發(fā)送至服務(wù)器�����;
隨機串比對單元�,服務(wù)器接收所述解碼隨機串�����,并與所述隨機串進(jìn)行比對�,當(dāng)一致時且移動終端通過合法性驗證時則啟動消息發(fā)送單元���;
消息發(fā)送單元�����,用于移動終端將待發(fā)送信息經(jīng)過DH算法的協(xié)商密鑰加密的加密通道發(fā)送至服務(wù)器���。
[0016]所述移動終端入網(wǎng)驗證實現(xiàn)系統(tǒng),其中�,所述用戶證書的公鑰和用戶私鑰由移動終端生成,所述用戶證書的公鑰由移動終端發(fā)送至服務(wù)器進(jìn)行存儲�����,所述用戶私鑰存儲在移動終端的SM卡或內(nèi)存中��。
[0017]所述移動終端入網(wǎng)驗證實現(xiàn)系統(tǒng)����,其中,還包括:
加密反饋模塊�����,用于服務(wù)器接收所述待發(fā)送信息����,并將與待發(fā)送信息對應(yīng)的反饋信息經(jīng)過DH算法的協(xié)商密鑰加密的加密通道發(fā)送至移動終端。
[0018]本發(fā)明所述的一種移動終端入網(wǎng)驗證實現(xiàn)方法及實現(xiàn)系統(tǒng)����,方法包括:當(dāng)服務(wù)器檢測到移動終端的入網(wǎng)請求時,則生成隨機串�����,將所述隨機串以用戶證書的公鑰為密鑰加密生成散列串�����,并發(fā)送至移動終端���;移動終端接收所述散列串并進(jìn)行消息完整性驗證����,當(dāng)通過完整性驗證且移動終端中的散列串與服務(wù)器中的散列串一致時,則將待發(fā)送信息經(jīng)過DH算法的協(xié)商密鑰加密的加密通道發(fā)送至服務(wù)器�����。本發(fā)明采用充分驗證的新型算法����,在無線網(wǎng)絡(luò)接入層完成足夠可靠的用戶識別,并為后續(xù)通信提供數(shù)據(jù)校驗和加密通信����,提高了入網(wǎng)驗證的可靠性和安全性。
【附圖說明】
[0019]圖1為本發(fā)明所述移動終端入網(wǎng)驗證實現(xiàn)方法較佳實施例的流程圖�。
[0020]圖2為